MÔ TẢ CÔNG VIỆC

A. MỤC TIÊU CÔNG VIỆC

• Mảng hoạt động Đảm bảo ANTT : Phát triển giải pháp ANTT/ Đảm bảo tuân thủ tiêu chuẩn ANTT (của Việt Nam và Quốc tế)
• Mảng hoạt động Kiểm thử ANTT: Thực hiện các hoạt động tấn công kiểm thử cho hệ thống công nghệ nhằm phát hiện các lỗ hổng/ điểm yếu và cung cấp các giải pháp khắc phục nhanh chóng kịp thời.
• Mảng hoạt động Quản trị ANTT: Thực hiện các hoạt động quản trị về ANTT định danh và truy cập/ANTT mạng/ANTT thiết bị đầu cuối và dữ liệu.

B. TRÁCH NHIỆM CHÍNH
1. Mảng hoạt động Đảm bảo An ninh thông tin:

• Tham gia các dự án, phát triển, triển khai công nghệ để đảm bảo An ninh thông tin cho các hệ thống sẽ được xây dựng, bao gồm các công đoạn: phân tích, xây dựng yêu cầu An ninh thông tin, thiết kế An ninh thông tin, threat modeling, rà soát mã nguồn, kiểm thử và xây dựng các biện pháp kiểm soát đảm bảo An ninh thông tin.
• Nghiên cứu, xây dựng các giải pháp An ninh thông tin cần thiết để ngăn chặn các cuộc tấn công, sự cố An ninh thông tin, đảm bảo an ninh, an toàn cho toàn bộ hệ thống thông tin của ngân hàng.
• Phối hợp với bộ phận giám sát An ninh thông tin tham gia xử lý các sự cố An ninh thông tin.
• Thiết lập và giám sát việc thực hiện quy trình, quy định, tiêu chuẩn, hướng dẫn, chính sách An ninh thông tin của TCB theo quy định của chính phủ và các tổ chức quốc tế.
• Thực hiện và duy trì tuân thủ các tiêu chuẩn quốc tế PCI-DSS, ISO, SWIFT CSP.
• Thực hiện và duy trì tuân thủ các chính sách của TCB, thông tư, quy định của Ngân hàng Nhà Nước.
• Thường xuyên thực hiện kiểm tra tính tuân thủ, toàn vẹn của cấu hình chính sách bảo mật trong hệ thống nội bộ TCB phát hiện các hành vi vi phạm hoặc tấn công nội bộ.
• Phối hợp với các đơn vị Đánh giá Tuân thủ, Quán lý rủi ro để đánh giá mức độ tuân thủ của hệ thống công nghệ theo các chính sách, quy định, tiêu chuẩn, quy trình, danh sách kiểm tra.

2. Mảng hoạt động Kiểm thử An ninh thông tin:
a. Thực hiện chiến lược đảm bảo An ninh thông tin:

• Tham gia thực hiện chiến lược An ninh thông tin thông qua việc cung cấp các số liệu đầu vào về xu hướng tấn công, các dạng thức khai thác và rủi ro phát sinh trong từng giai đoạn.
• Tham gia thực hiện kế hoạch triển khai đảm bảo An ninh thông tin hàng năm, đáp ứng nhu cầu kinh doanh và vận hành của ngân hàng thông qua việc thực hiện các chương trình kiểm thử An ninh thông tin cho hoạt động công nghệ của ngân hàng.
• Xây dựng phương pháp kiểm tra thâm nhập, kịch bản quét bảo mật thông tin và kiểm tra bảo mật theo tiêu chuẩn quốc tế như OSSTMM, Sans và OWASP.
• Phát triển các kỹ thuật mới, các kịch bản và chương trình khai thác để tự động kiểm tra thâm nhập.

b. Thực hiện hoạt động tấn công kiểm thử:

• Trực tiếp thực hiện rà soát phát hiện các điểm yếu, đánh giá khả năng khai thác điểm yếu và tiến hành kiểm tra thâm nhập/ khai thác định kỳ hoặc theo yêu cầu của lãnh đạo Khối cho tất cả các hệ thống/ ứng dụng; thử nghiệm thâm nhập cho hệ thống/ ứng dụng sau khi phát hiện trực tiếp hoặc bất cứ khi nào trải qua một thay đổi lớn. Các phương pháp kiểm thử phải đảm bảo tính thực tế bao gồm cả kĩ thuật (công nghệ) và phi kĩ thuật (con người, quy trình, tài sản vật lý). Từ đó cung cấp lại cho CISO cũng như các bộ phận An ninh thông tin khác để có các chương trình xử lý các vấn đề của điểm yếu hệ thống có thể bị khai thác được.
• Thực hiện quét lỗ hổng thường xuyên, kiểm tra bảo mật thông tin để tìm ra lỗ hổng trong hệ thống và cung cấp giải pháp khắc phục/ khắc phục; hỗ trợ duy trì tuân thủ các tiêu chuẩn an ninh thế giới như PCI-DSS, ISO27001, SCP (swift).
• Thực hiện phát triển và quản lý chương trình quản lý lỗ hổng, cơ sở dữ liệu tình báo mối đe dọa. Thu thập, theo dõi các số liệu và phân tích xu hướng về phòng thủ không gian mạng, mối đe dọa, các cuộc tấn công được phát hiện, các lỗ hổng và các biện pháp xử lý/ngăn chặn.
• Chủ động nghiên cứu / tìm ra lỗ hổng mới, kỹ thuật khai thác và các mối đe dọa trên mạng; xác định xu hướng trong bảo mật mạng liên quan đến chiến thuật, kỹ thuật và quy trình, nhắm mục tiêu để phát triển và triển khai phần mềm độc hại.
• Trực tiếp tham gia vào kế hoạch thực nghiệm phản ứng với sự cố An ninh thông tin với tư cách là đơn vị tấn công và trong trường hợp sự cố An ninh thông tin thực tế là đội phản ứng. Phối hợp và cung cấp kỹ năng kỹ thuật phòng thủ không gian mạng chuyên gia để giải quyết các sự cố tấn công mạng.

3. Mảng hoạt động Quản trị An ninh thông tin:

• Xây dựng/ điều chỉnh và thực thi MTPQ của các hệ thống.
• Xây dựng các yêu cầu, biện pháp nhằm kiểm soát truy cập và bảo vệ dữ liệu của ngân hàng.
• Xây dựng, duy trì, tối ưu chính sách/tập luật/cấu hình An ninh thông tin cho các giải pháp đảm bảo An ninh thông tin như: Các giải pháp An ninh thông tin về quản lý định danh truy cập (PAM, IAM…); Các giải pháp An ninh thông tin về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…); Các giải pháp An ninh thông tin về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…); Các giải pháp An ninh thông tin về dữ liệu (DLP, FAM…).
• Thẩm định, đánh giá, rà soát:
  – Công tác thực thi phân quyền đảm bảo tuân thủ theo ma trận phân quyền.
  – Công tác cấp phát, thu hồi tài khoản đặc quyền và chứng thư số trên các hệ thống công nghệ.
  – Các yêu cầu ngoại lệ liên quan đến định danh, quyền truy cập trên các hệ thống công nghệ
  – Các yêu cầu thay đổi trên các giải pháp đảm bảo An ninh thông tin.
• Quản trị rủi ro và tuân thủ:
  – Nhận biết rủi ro của bộ phận trong quá trình hoạt động, đảm bảo tuân thủ đúng các quy trình, quy định của ngân hàng. Phối hợp với các đơn vị liên quan xử lý rủi ro.
  – Thực hiện các hoạt động xử lý rủi ro theo các báo cáo của các bộ phân kiểm toán bên trong/bên ngoài Ngân hàng.

YÊU CẦU CÔNG VIỆC

1. Bằng cấp:

• Tốt nghiệp chuyên ngành CNTT, Toán tin hoặc Điện tử viễn thông.
• Ngoại ngữ: Tiếng Anh: Cấp độ 1 – TOEIC dưới 550.
• Các chứng chỉ về an ninh thông tin như OSCP, chứng chỉ triển khai đánh giá PCI DSS, ISO.
• Có các chứng chỉ về bảo mật ISC2 SSCP là một lợi thế.
• Có các chứng chỉ của các hãng cung cấp các giải pháp đảm bảo ANTT như Microsoft/ Cisco/ PaloAlto/ Checkpoint/ Cyberark/ Sailpoint…
• Có chứng chỉ về an ninh thông tin như – SANS SEC660, SEC760, SANS SEC642, SANS SEC575, OSCE, OSCP.

2. Kinh nghiệm:
a. Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông từ 5 năm. Kinh nghiêm bao gồm các khía cạnh:

• Nghiên cứu, thiết kế, triển khai và đánh giá An ninh thông tin cho các hệ thống, ứng dụng.
• Triển khai PCI-DSS, ISO, Swift CSP… Tham gia triển khai xây dựng, kiểm soát tuân thủ tiêu chuẩn ANTT đối với hệ thống CNTT.

b. Có kinh nghiệm thực hiện đánh giá kiểm thử ANTT trong các tổ chức tài chính/dịch vụ/ viễn thông. Kinh nghiêm bao gồm các khía cạnh:

• Kinh nghiệm trong hoạt động nghiên cứu lỗ hổng bảo mật, phát triển các kĩ thuật/công cụ tấn công, thực hiện tấn công kiểm thử các hệ thống công nghệ bằng các biện pháp kĩ thuật và phi kĩ thuật)

c. Có kinh nghiệm triển khai, quản trị, vận hành chuyên sâu về mặt chính sách, tập luật, cấu hình ANTT tối thiểu một trong các mảng sau tại các tổ chức tài chính/ dịch vụ/ viễn thông (5 năm):

• Các giải pháp ANTT về quản lý định danh truy cập (PAM, IAM…);
• Các giải pháp ANTT về mạng lưới (Firewall, NAC, APT, NetIPS, DDOS…);
• Các giải pháp ANTT về thiết bị đầu cuối (AD GPO, HIPS/HFW, Appcontrol, Web/mail filtering, DB security…);
• Các giải pháp ANTT về dữ liệu (DLP, FAM…).
• Kinh nghiệm đánh giá an ninh thông tin theo phương pháp Agile.

3. Năng lực chuyên môn:

• An ninh mạng.
• Kiểm thử An ninh thông tin.
• Quản lý cấu hình bảo mật.
• Quản lý định danh và truy cập.
• Đảm bảo An ninh thông tin.
• Kiến trúc An ninh Thông tin.
• Điều tra sự cố an ninh thông tin.

4. Năng lực lãnh đạo:

• Tư duy chiến lược.
• Thay đổi và đổi mới.
• Hợp tác.
• Phát triển nhân tài.
• Hướng tới kết quả.

5. Phù hợp với văn hóa tổ chức:

• Lấy khách hàng làm trung tâm.
• Luôn đổi mới.
• Hợp tác vì các mục tiêu chung.
• Tự phát triển.
• Làm việc hiệu quả.

6. Phẩm chất cá nhân:

• Chính trực, khiêm tốn.
• Lạc quan, thích nghi tốt, kiểm soát cảm xúc tốt.
• Tận tâm, ưa thích cường độ làm việc cao, hướng tới mục tiêu thách thức và quyết liệt.
• Có sức thuyết phục, dám theo đuổi quy cách mới, tư duy tiến thủ.